II SA/Wa 3309/21
Podsumowanie
Przejdź do pełnego tekstuWojewódzki Sąd Administracyjny w Warszawie rozpatrzył skargę Prezesa Sądu Rejonowego na decyzję Prezesa Urzędu Ochrony Danych Osobowych (UODO), która nałożyła karę pieniężną w wysokości 10 000 PLN za naruszenie przepisów RODO. Naruszenie miało miejsce w wyniku zgubienia przez kuratora sądowego niezabezpieczonego pendrive'a, na którym znajdowały się dane osobowe 400 osób objętych nadzorem kuratorskim i wywiadem środowiskowym. Dane te obejmowały m.in. dane identyfikacyjne, adresowe, PESEL, informacje o zarobkach, zdrowiu oraz dane dotyczące wyroków skazujących. Prezes Sądu Rejonowego, jako administrator danych, kwestionował zasadność nałożonej kary, argumentując, że szkolenia personelu stanowiły wystarczający środek zaradczy i że nie można przerzucać odpowiedzialności na kuratorów. Sąd administracyjny uznał jednak, że działania podjęte przez Prezesa Sądu były niewystarczające. Podkreślono, że administrator jest zobowiązany do wdrożenia odpowiednich środków technicznych i organizacyjnych, a samo szkolenie personelu nie zastąpiło konieczności zastosowania zabezpieczeń technicznych, takich jak szyfrowanie nośników. Sąd potwierdził, że brak odpowiednich zabezpieczeń, w tym brak szyfrowania i przerzucenie odpowiedzialności na kuratora, stanowiło naruszenie zasad RODO dotyczących integralności i poufności danych. W konsekwencji, sąd oddalił skargę, uznając decyzję Prezesa UODO za zgodną z prawem.
Przeanalizuj tę sprawę w pełnym kontekście orzecznictwa.
Analiza orzecznictwa · odpowiedzi na pytania · badanie przepisów · drafting pism.
Wartość praktyczna
Siła precedensu: WysokaNiewystarczające środki bezpieczeństwa danych osobowych, odpowiedzialność administratora, znaczenie środków technicznych i organizacyjnych, kary pieniężne nakładane przez UODO.
Sprawa dotyczy specyficznego kontekstu sądów i kuratorów, ale zasady ochrony danych są uniwersalne.
Zagadnienia prawne (3)
Czy szkolenie personelu jest wystarczającym środkiem technicznym lub organizacyjnym zapewniającym bezpieczeństwo danych osobowych w kontekście ryzyka utraty nośnika danych?Ratio decidendi
Odpowiedź sądu
Nie, szkolenie personelu nie jest wystarczającym środkiem organizacyjnym, który pozwoliłby na obniżenie do niskiego poziomu lub wyeliminowanie ryzyka zagubienia nośnika, ani nie zastąpi rozwiązań technicznych.
Uzasadnienie
Sąd uznał, że administrator danych jest zobowiązany do wdrożenia odpowiednich środków technicznych i organizacyjnych, a samo szkolenie nie jest wystarczające do zapewnienia bezpieczeństwa danych, zwłaszcza w przypadku przetwarzania wrażliwych informacji. Odpowiedzialność za dobór i wdrożenie zabezpieczeń spoczywa na administratorze, a nie na pracowniku.
Czy Prezes Sądu Rejonowego jest administratorem danych osobowych przetwarzanych przez kuratora sądowego?Ratio decidendi
Odpowiedź sądu
Tak, zgodnie z art. 9b ustawy o kuratorach sądowych, administratorem danych przetwarzanych w celu wykonania zadań lub obowiązków przez kuratora sądowego jest prezes sądu, w którym kurator pełni obowiązki służbowe.
Uzasadnienie
Sąd potwierdził, że przepisy ustawy o kuratorach sądowych jednoznacznie wskazują, iż prezes sądu jest administratorem danych przetwarzanych przez kuratorów sądowych.
Czy nałożenie administracyjnej kary pieniężnej na jednostkę sektora finansów publicznych (Sąd Rejonowy) jest zgodne z prawem?Ratio decidendi
Odpowiedź sądu
Tak, kara została prawidłowo skierowana do organu jednostki finansów publicznych (Prezesa Sądu Rejonowego), a jej wysokość została ograniczona do 100 000 zł zgodnie z art. 102 ustawy o ochronie danych osobowych.
Uzasadnienie
Sąd wyjaśnił, że kara została nałożona na organ jednostki finansów publicznych, a nie na osobę fizyczną, i że jej wysokość została uwzględniona zgodnie z przepisami ograniczającymi kary dla takich jednostek.
Przepisy (9)
Główne
p.p.s.a. art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi
RODO art. 5 § ust. 1 lit. f)
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
Dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych ('integralność i poufność').
RODO art. 24 § ust. 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
Administrator, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
RODO art. 25 § ust. 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
Administrator, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania - wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi RODO oraz chronić prawa osób, których dane dotyczą (uwzględnianie ochrony danych w fazie projektowania).
RODO art. 32 § ust. 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania (lit. b) oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania (lit. d).
RODO art. 32 § ust. 2
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
Administrator oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
u.k.s. art. 9b
Ustawa z dnia 21 lipca 2001 r. o kuratorach sądowych
Administrator danych przetwarzanych w celu wykonania zadań lub obowiązków przez kuratora sądowego jest prezes sądu, w którym kurator sądowy pełni obowiązki służbowe.
Pomocnicze
u.o.d.o. art. 102 § ust. 1 pkt 1
Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych
Ograniczenie wysokości administracyjnej kary pieniężnej nakładanej na jednostkę sektora finansów publicznych do 100 000 zł.
RODO art. 83 § ust. 2
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
Okoliczności uwzględniane przy nakładaniu administracyjnej kary pieniężnej.
Argumenty
Skuteczne argumenty
Niewystarczające środki techniczne i organizacyjne wdrożone przez administratora danych. • Przerzucenie odpowiedzialności za zabezpieczenie danych na kuratora sądowego. • Brak regularnego testowania i oceny skuteczności wdrożonych środków bezpieczeństwa. • Naruszenie zasady poufności danych osobowych.
Odrzucone argumenty
Szkolenie personelu jako wystarczający środek zaradczy. • Prezes Sądu Rejonowego nie jest administratorem danych przetwarzanych przez kuratora. • Kara pieniężna nałożona na organ jednostki finansów publicznych jest niezgodna z prawem.
Godne uwagi sformułowania
Administrator samodzielnie ma przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka. • Pracownik nie może zastępować administratora danych w realizacji jego zadań wynikających z przepisów o ochronie danych osobowych. • Tak zorganizowany proces określania i wdrażania zabezpieczeń przetwarzanych danych osobowych skutkuje wręcz pozbawieniem administratora danych podstawowych informacji niezbędnych do przeprowadzenia w sposób właściwy analizy ryzyka i na tej podstawie zbudowania skutecznego systemu ochrony danych.
Skład orzekający
Iwona Maciejuk
przewodniczący
Agnieszka Góra-Błaszczykowska
członek
Andrzej Góraj
sprawozdawca
Informacje dodatkowe
Wartość precedensowa
Siła: Wysoka
Powoływalne dla: "Niewystarczające środki bezpieczeństwa danych osobowych, odpowiedzialność administratora, znaczenie środków technicznych i organizacyjnych, kary pieniężne nakładane przez UODO."
Ograniczenia: Sprawa dotyczy specyficznego kontekstu sądów i kuratorów, ale zasady ochrony danych są uniwersalne.
Wartość merytoryczna
Ocena: 7/10
Sprawa pokazuje realne konsekwencje naruszenia ochrony danych osobowych w instytucji publicznej, podkreślając znaczenie technicznych zabezpieczeń i odpowiedzialności administratora. Jest to ważna lekcja dla wszystkich podmiotów przetwarzających dane.
“Zgubiony pendrive z danymi 400 osób. Sąd Rejonowy zapłaci 10 000 zł kary za brak szyfrowania.”
Dane finansowe
WPS: 10 000 PLN
Twój asystent do analizy prawnej.
Zadaj pytanie prawne, zleć analizę orzecznictwa i przepisów, lub poproś o projekt pisma — AI przeszuka 1,4 mln orzeczeń i aktualne akty prawne.
- Analiza orzecznictwa i przepisów
- Drafting pism i dokumentów
- Odpowiedzi na pytania prawne
- Pogłębiona analiza z doktryny
Pełny tekst orzeczenia
Oryginalna treść postanowienia (niezmieniona). Otwiera się jako osobna strona.